Accès ou désactivation de l'inspection approfondie Chemins personnalisés pour l'inspection approfondie d'Amazon Inspector Programmes personnalisés pour l'inspection approfondie d'Amazon Inspector Langages de programmation pris en charge

Inspection approfondie d'Amazon Inspector pour les instances Amazon EC2 basées sur Linux

Amazon Inspector étend la couverture de numérisation Amazon EC2 pour inclure une inspection approfondie. Grâce à une inspection approfondie, Amazon Inspector détecte les vulnérabilités des packages de langage de programmation d'applications dans vos instances Amazon EC2 basées sur Linux. Amazon Inspector analyse les chemins par défaut pour les bibliothèques de packages de langage de programmation. Cependant, vous pouvez configurer des chemins personnalisés en plus des chemins analysés par défaut par Amazon Inspector.

Note

Vous pouvez utiliser une inspection approfondie avec le paramètre de configuration de gestion d'hôte par défaut. Toutefois, vous devez créer ou utiliser un rôle configuré avec les ssm:GetParameter autorisations ssm:PutInventory et.

Pour effectuer des analyses d'inspection approfondies pour vos instances Amazon EC2 basées sur Linux, Amazon Inspector utilise les données collectées avec le plug-in Amazon Inspector SSM. Pour gérer le plug-in Amazon Inspector SSM et effectuer une inspection approfondie pour Linux, Amazon Inspector crée automatiquement l'association SSM InvokeInspectorLinuxSsmPlugin-do-not-delete dans votre compte. Amazon Inspector collecte l'inventaire des applications mis à jour à partir de vos instances Amazon EC2 basées sur Linux toutes les 6 heures.

Note

L'inspection approfondie n'est pas prise en charge pour Windows les instances Mac.

Cette section explique comment gérer l'inspection approfondie d'Amazon Inspector pour les instances Amazon EC2, notamment comment définir des chemins personnalisés à scanner par Amazon Inspector.

Rubriques

Accès ou désactivation de l'inspection approfondie
Chemins personnalisés pour l'inspection approfondie d'Amazon Inspector
Programmes personnalisés pour l'inspection approfondie d'Amazon Inspector
Langages de programmation pris en charge

Accès ou désactivation de l'inspection approfondie

Note

Pour les comptes qui activent Amazon Inspector après le 17 avril 2023, l'inspection approfondie est automatiquement activée dans le cadre du scan Amazon EC2.

Pour gérer une inspection approfondie

Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home
Dans le volet de navigation, choisissez Paramètres généraux, puis sélectionnez Paramètres de numérisation Amazon EC2.
Dans le cadre d'une inspection approfondie de l'instance Amazon EC2, vous pouvez définir des chemins personnalisés pour votre organisation ou pour votre propre compte.

Vous pouvez vérifier l'état d'activation par programmation d'un seul compte grâce à l'API GetEc2. DeepInspectionConfiguration Vous pouvez vérifier l'état d'activation de plusieurs comptes par programmation à l'aide de l'BatchGetMemberEc2DeepInspectionStatusAPI.

Si vous avez activé Amazon Inspector avant le 17 avril 2023, vous pouvez activer l'inspection approfondie via la bannière de la console ou l'UpdateEc2DeepInspectionConfigurationAPI. Si vous êtes l'administrateur délégué d'une organisation dans Amazon Inspector, vous pouvez utiliser l'BatchUpdateMemberEc2DeepInspectionStatusAPI pour activer une inspection approfondie pour vous-même et pour vos comptes membres.

Vous pouvez désactiver l'inspection approfondie via l'UpdateEc2DeepInspectionConfigurationAPI. Les comptes des membres d'une organisation ne peuvent pas désactiver l'inspection approfondie. Le compte du membre doit plutôt être désactivé par son administrateur délégué à l'aide de l'BatchUpdateMemberEc2DeepInspectionStatusAPI.

Chemins personnalisés pour l'inspection approfondie d'Amazon Inspector

Vous pouvez définir des chemins personnalisés à scanner par Amazon Inspector lors d'une inspection approfondie de vos instances Linux Amazon EC2. Lorsque vous définissez un chemin personnalisé, Amazon Inspector analyse les packages de ce répertoire et de tous ses sous-répertoires.

Tous les comptes peuvent définir jusqu'à 5 chemins personnalisés. L'administrateur délégué d'une organisation peut définir 10 chemins personnalisés.

Amazon Inspector analyse tous les chemins personnalisés en plus des chemins par défaut suivants, qu'Amazon Inspector analyse pour tous les comptes :

/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64

Note

Les chemins personnalisés doivent être des chemins locaux. Amazon Inspector n'analyse pas les chemins réseau mappés, tels que les montages du système de fichiers réseau ou les montages du système de fichiers Amazon S3.

Formatage de chemins personnalisés

Un chemin personnalisé ne peut pas comporter plus de 256 caractères. Voici un exemple de ce à quoi peut ressembler un chemin personnalisé :

Exemple de chemin

/home/usr1/project01

Note

La limite de packages par instance est de 5 000. La durée maximale de collecte de l'inventaire des colis est de 15 minutes. Amazon Inspector vous recommande de choisir des chemins personnalisés pour éviter ces limites.

Définition d'un chemin personnalisé dans la console Amazon Inspector et avec l'API Amazon Inspector

Les procédures suivantes décrivent comment définir un chemin personnalisé pour l'inspection approfondie d'Amazon Inspector dans la console Amazon Inspector et avec l'API Amazon Inspector. Une fois que vous avez défini un chemin personnalisé, Amazon Inspector inclut ce chemin dans l'inspection approfondie suivante.

Programmes personnalisés pour l'inspection approfondie d'Amazon Inspector

Par défaut, Amazon Inspector collecte un inventaire des applications à partir des instances Amazon EC2 toutes les 6 heures. Toutefois, vous pouvez exécuter les commandes suivantes pour contrôler la fréquence à laquelle Amazon Inspector effectue ces opérations.

Exemple de commande 1 : Lister les associations pour afficher l'ID d'association et l'intervalle actuel

La commande suivante indique l'identifiant de l'associationInvokeInspectorLinuxSsmPlugin-do-not-delete.


aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Exemple de commande 2 : Mettre à jour l'association pour inclure un nouvel intervalle

La commande suivante utilise l'identifiant de l'associationInvokeInspectorLinuxSsmPlugin-do-not-delete. Vous pouvez définir le taux pour une période comprise schedule-expression entre 6 heures et un nouvel intervalle, par exemple 12 heures.


aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

Note

Selon votre cas d'utilisation, si vous définissez le taux schedule-expression entre 6 heures et un intervalle de 30 minutes, vous pouvez dépasser la limite d'inventaire SSM quotidienne. Cela retarde les résultats et vous risquez de rencontrer des instances Amazon EC2 présentant des états d'erreur partiels.

Langages de programmation pris en charge

Pour les instances Linux, l'inspection approfondie d'Amazon Inspector peut produire des résultats pour les packages de langage de programmation d'applications et les packages de système d'exploitation.

Pour les instances Mac et Windows, l'inspection approfondie d'Amazon Inspector peut produire des résultats uniquement pour les packages de systèmes d'exploitation.

Pour plus d'informations sur les langages de programmation pris en charge, consultez Langages de programmation pris en charge : inspection approfondie d'Amazon EC2.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Analyse des instances Amazon EC2

Analyse d'Windowsune instance EC2